Správa užívateľov a skupín

Pokiaľ ste správca siete alebo domény, potrebujete obvykle spravovať aj užívateľov. Táto úloha je veľmi dôležitá. Pokiaľ však nepochopíte základy správy, nebudete riadiť procesy rozumne a neovládate nástroje pre správu, môže byť táto úloha extrémne frustrujúca.

Nikto v organizácii nemôže pracovať, používať počítač alebo sa pripojiť na sieť bez prístupu k užívateľskému účtu. Užívateľský účet je ako kľúč k autu. Bez kľúča sa nedostanete nikam.

Čo je užívateľ (User)

Definícia užívateľ (user) sa vzťahuje na autonómne procesy, sieťové objekty (zariadenia a počítače), a ľudí. Človek môže použiť systémové zdroje k vykonaniu určitej práce, toto ale môže urobiť aj akýkoľvek proces, stroj alebo technológia. Preto v systémoch Windows je s nimi zachádzané ako s užívateľom. V krátkosti, bezpečnostný systém Windows Server 2003 nerozlišuje medzi ľuďmi a zariadeniami, ktorí používajú jeho zdroje.

Objekty užívateľ sú odvodené z triedy užívateľ v AD, ktorá je zasa dedená z niekoľkých rodičov. Účty strojov sú následne logicky odvodené z objektu User. Aby ste získali prístup k objektu User, musíte sa naňho odvolať jeho významným menom (distinguished name – DN). Toto je obvykle riadené automaticky rôznymi GUI objektami, ale ak plánujete písať skripty, ktoré sprístupňujú takýto objekt, tak je dobré to vedieť.

Čo sú Kontakty (Contacts)

Po prvýkrát sa tieto objekty objavili vo sieťach Windows 2000. Sú odvodené z tej istej hierarchie tried ako objekt User. Avšak tento objekt nededí bezpečnostné atribúty od svojho rodiča. Kontakt je preto používaný iba pre komunikačné účely: e-mail, faxovanie, telefonovanie a podobne.

Pristupovať ku kontaktom v AD môžte z klientov ako Outlook a Outlook Express, prípadne iných LDAP klientov. Object kontakt je najpodobnejší objektu vo Windows Address Book (WAB).

Lokálni užívatelia a „lokálni užívatelia“

Termínom lokálny užívateľ (local user) sú často označované dva typy užívateľov: užívatelia na lokálnych počítačoch a užívatelia ktorí sú lokálni na sieti alebo doméne. Používanie tohto zameniteľného termínu môže pôsobiť určitý zmetok. Preto sa to pokúsim trocha objasniť a upresniť.

Pojmom lokálny užívateľ budeme rozumieť užívateľa, ktorý sa vie prihlásiť lokálne na PC. Inými slovami, lokálny užívateľ sa vie prihlásiť na počítač, pri ktorom práve sedí a kde bol účet vytvorený, prípadne na vzdialený počítač kde bolo povolené právo na lokálne prihlásenie, ako napríklad server cez terminálové pripojenie.

Na užívateľov v doméne alebo užívateľov všeobecne budeme nazerať ako na doménových užívateľov (domain users) alebo členov domény (domain members). Užívateľ môže byť tiež členom lokálnej domény a takýto účet je často nazývaný lokálny užívateľ, toto však nie je prípadom domén Windows Server 2003.

Čo je skupina (group)

Skupiny (groups) sú kolekcie užívateľov, kontaktov, počítačov a iných skupín (proces známy ako vnorenie – nesting). Vo svojej postate sú skupiny redundanciou na OU, sú pozostatkom z predošlých verzií Windows. Skupiny obsahujú prístupové práva objektov User a iných skupín. Taktiež obsahujú samotné objekty User, ktoré zdieľajú tie isté práva na sieťové objekty – zdieľania, adresáre, súbory, tlačiarne a pod.

Vlastnosti užívateľského účtu

Účet doménového užívateľa obvykle zahŕňa tieto položky:

  • Password security – účet je chránený heslom takže iba autorizovaná osoba môže získať prístup do systému.
  • Permissions – sú to prístupové práva pridelené k užívateľskému účtu. Zahŕňajú členstvo v skupinách a špecifické nastavenia pre prístup ku zdrojom.
  • Identification – užívateľské účty identifikujú osobu na systéme a v sieti.
  • User rights – je to najvyššie právo ktoré môže byť pridelené užívateľovi alebo skupine pre definovanie alebo obmedzenie ich možností na systéme.
  • Roaming – pomocou neho sa môže užívateľ prihlásiť na akýkoľvek objekt, ktorý je členom domény.
  • Environment layout – profily súšpecifické pre užívateľa a obsahujú informáciu o vzhľade, desktope a užívateľskom prostredí. Profily môžete nadefinovať tak, že budú dostupné užívateľskému účtu bez ohľadu na to, kde sa prihlási k sieti.
  • Auditing – Windows Server 2003 môže sledovať prístup a používanie doménových užívateľských účtov, pokiaľ to bolo aktivované.

Keď je Windows Server 2003 nainštalovaný automaticky sú vytvorené tri účty. Jeden z účtov – Administrator – je používaný ku správe systému. Účet Guest je vhodný pre rýchle pridelenie čo najnižších práv ľubovoľným užívateľom. Tretí účet je tzv. HelpAssistant, obvykle pomenovaný Support_[náhodné znaky], ktorý je primárnym účtom používaným pre Remote Assistance. Tento účet si riadi služba Remote Desktop Help Session Manager a defaultne je deaktivovaný.

Pravidlá pre účet Administrator

Ako som spomínal, tento účet je určený pre administráciu systému. Je to teda účet s najvyššími právami na systém. Preto sa uistite, že heslo je komplexné a tajné. Administrátorský účet má niekoľko dôležitých vlastností:

  • nemôžete ho vymazať
  • nemôžete ho uzamknúť alebo deaktivovať
  • môžete (a mali by ste) ho premenovať
  • aj keď je možné zadať prázdne heslo, je veľmi zlá voľba. Obvykle ani niektoré služby nebudú pracovať dobre, pokiaľ heslo nezadáte

Pravidlá pre účet Guest

Tento účet môžete použiť ako dočasnú metódu pre verejný prístup. Má minimálne prístupové práva a obmedzené privilégiá na zdroje. Účet Guest má nasledovné vlastnosti:

  • nemôžete ho vymazať
  • môžete ho uzamknúť alebo deaktivovať (default je deaktivovaný)
  • môžete ho premenovať
  • môže mať prázdne heslo (to je default)

Vytvorenie účtu v AD

Vytvorenie účtu v AD je častá ale jednoduchá úloha. Použijeme k tomu konzolu Active Directory Users and Computers.

Samotné vytvorenie účtu nie je zložité, treba ale dávať pozor na mnoho detailov. Najprv si prejdeme rýchle ale nie celkom korektné vytvorenie účtu. Potom sa ho pokúsime doladiť:

1. Start -> Programs -> Administrative Tool -> Active Directory Users and Computers
2. Rozbaľte doménu
3. Pravý klik na kontajner Users a vybrať New -> User
4. Vyplňte nasledovné informácie:
– First name; Last name; Initials: meno, priezvisko a stredné meno (ak je)
– Full name: ako bude meno zobrazené v systéme. Systém ho za vás vyplní, ale môžte ho zmeniť ak to považujete za vhodné.
– User logon name: zadajte meno ktorým chcete aby sa užívateľ identifikoval na sieti. Na to by ste si mali vytvoriť firemný štandard, ako napríklad priezvisko a prvé písmeno mena alebo niečo podobné.

5. Kliknite na Next. Tu potrebujeme zadať informácie o hesle. Zadáme dvakrát heslo a vyplníme položky podľa potreby:

  • User Must Change Password at Next Logon – donúti užívateľa zmeniť heslo pri prihlásení
  • User Cannot Change Password – zabráni užívateľovi zmeniť heslo
  • Password Never Expires – platnosť hesla nikdy nevyprší
  • Account is Disabled – zabráni prihláseniu s týmto účtom do systému. Obvykle pokiaľ vytvárate nového užívateľa, tak nechcete mať túto možnosť zaškrtnutú

6. Kliknite na Next. Objaví sa vám dialógové okno v ktorom si môžete ešte skontrolovať nastavenia

7. Pokiaľ je všetko v poriadku kliknite na Finish

Práve sme vytvorili nový doménový užívateľský účet. Tento účet sa teraz objaví v konzole. Ak urobíte pravý klik na objekte a vyberiete Properties, zobrazí sa vám dialóg s niekoľkými záložkami. Tieto záložky môžete použiť na vloženie ďalších informácií, ako napríklad zoznam skupín, do ktorých bude priradený. Zoznam záložiek sa môže líšiť podľa toho, či server je standalone, člen domény alebo doménový radič.

Záložka General

Môžete tu zadať ďalšie informácie o účte, napríklad popis, adresu kancelárie, telefónne číslo, web, e-mail. Čím viac informácii zadáte teraz, o to menej budete potrebovať času neskôr, keď budete potrebovať niektorú informáciu získať.

Záložka Address

Tieto informácie sú vcelku nepovinné, ale je dobré ich zadať.

Záložka Account

Túto časť informácií sme už čiastočne vyplnili pri vytváraní účtu. Prišiel čas na detailnejšie vyplnenie. Jednotlivé položky sú viacmenej samovysvetľujúce, takže len tie s ktorými môže byť problém:

– Logon hours – kliknite na tlačítko „Logon hours“. Zobrazí sa vám dialógové okno, v ktorom môžete definovať hodiny, počas ktorých užívateľ môže získať prístup do systému. Pokiaľ sa pokúsi prihlásiť mimo týchto hodín, prihlásenie sa nepodarí. Ak je užívateľ prihlásený keď čas vyprší, zostane online, ale nemôže vytvoriť žiadne nové sieťové pripojenie.

– Account expiration – keď aktivujete Account Expires môžte zadefinovať kedy (ak vôbec) účtu vyprší platnosť. Toto je užitočné pre dočasných zamestnancov alebo brigádnikov, ktorý majú mať prístup ku systému len na obmedzené časové obdobie.

Záložka Profile

– User profile path – umiestnenie, kde budú uložené cestovné (roaming) profily pre užívateľa. Pokiaľ to je nastavené, tento profil bude dostupný užívateľovi na každej stanici na sieti.
– Logon script name – názov skriptu ktorý bude vykonaný u klienta po prihlásení. Tieto skripty sú obvykle batchové súbory, ktoré definujú cesty, nastavujú premenné prostredia, mapujú sieťové disky alebo spúšťajú aplikácie.
– Home directory – defaultné umiestnenie pre užívateľov domovský adresár. Môže to byť lokálna cesta alebo sieťové umiestnenie.

Záložka Telephones

Vcelku samovysvetľujúce, zadajte informácie podľa potreby.

Záložka Organization

Zadajte informácie o firme.

Záložka Member Of

Tu sú uložené informácie o členstve v skupinách. Môžete užívateľa zaradiť do ďalších skupín, alebo mu členstvo v skupinách odobrať.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *